Microsoft diz que você não deve mais usar SMS para autenticação em dois fatores
Os internautas, felizmente, estão se dando conta de que usar autenticação dupla — também chamada de autenticação em duas etapas ou simplesmente 2FA, do inglês 2-factor authentication — virou uma necessidade em tempos de vazamento de dados e sequestro de contas digitais. Porém, as poucas pessoas que efetivamente usam essa camada adicional de proteção costumam empregar mensagens SMS ou chamadas de voz para receber os códigos únicos utilizados para fazer login.
- Segurança: aprenda o que é e como ativar a dupla verificação em sites populares
- Zoom agora protege contas com autenticação em duas etapas; saiba como ativar
- Como ativar a autenticação em duas etapas no iPhone ou iPad
Ok, esse método pode ser melhor do que nada. Mas, como alertado por Alex Weinert, diretor de segurança de identidade da Microsoft, usar autenticação dupla via SMS ou ligações não é tão seguro quanto parece, já que esses dois vetores podem ser interceptados de forma que o criminoso receba o código de verificação antes de você. Se isso acontecer, de nada adiantou ativar o 2FA em sua conta, pois ela será invadida de um jeito ou de outro.
Em uma postagem em seu blog, Weinert ressalta que mensagens SMS e chamadas de voz não possuem criptografia, sendo transferidas em texto simples — o que facilita a sua interceptação por agentes maliciosos usando técnicas como células FEMTO ou serviços SS7; ademais, temos o clássico problema do SIM Swap, quando o criminoso “sequestra” sua linha telefônica (geralmente contando com a ajuda de um insider, ou seja, um funcionário da operadora).
-
Siga no Instagram: acompanhe nossos bastidores, converse com nossa equipe, tire suas dúvidas e saiba em primeira mão as novidades que estão por vir no Canaltech.
-
Qual seria a solução então? Usar aplicativos dedicados a armazenar esse tipo de informaçõ sensível. Temos várias opções no mercado, incluindo o Microsoft Authenticator, o Google Authenticator e o Authy. O ideal, comenta Weinert, é empregar dispositivos físicos que geram tokens aleatórios.
Leia a matéria no Canaltech.
Trending no Canaltech:
- Samsung registra novo celular com corpo preenchido por tela; confira o visual
- Recurso do PS4 com PS5 vai fazer você desistir de vender seu antigo console
- Moto E7: renderizações e lista de especificações do baratinho da Motorola
- Hyperloop: primeira viagem com passageiros a bordo é feita com sucesso
- Moto G9 Power passa na Anatel junto com dois celulares da Realme
from Canaltech https://ift.tt/3nooMcl
Ramon de Souza
Os internautas, felizmente, estão se dando conta de que usar autenticação dupla — também chamada de autenticação em duas etapas ou simplesmente 2FA, do inglês 2-factor authentication — virou uma necessidade em tempos de vazamento de dados e sequestro de contas digitais. Porém, as poucas pessoas que efetivamente usam essa camada adicional de proteção costumam empregar mensagens SMS ou chamadas de voz para receber os códigos únicos utilizados para fazer login.
- Segurança: aprenda o que é e como ativar a dupla verificação em sites populares
- Zoom agora protege contas com autenticação em duas etapas; saiba como ativar
- Como ativar a autenticação em duas etapas no iPhone ou iPad
Ok, esse método pode ser melhor do que nada. Mas, como alertado por Alex Weinert, diretor de segurança de identidade da Microsoft, usar autenticação dupla via SMS ou ligações não é tão seguro quanto parece, já que esses dois vetores podem ser interceptados de forma que o criminoso receba o código de verificação antes de você. Se isso acontecer, de nada adiantou ativar o 2FA em sua conta, pois ela será invadida de um jeito ou de outro.
Em uma postagem em seu blog, Weinert ressalta que mensagens SMS e chamadas de voz não possuem criptografia, sendo transferidas em texto simples — o que facilita a sua interceptação por agentes maliciosos usando técnicas como células FEMTO ou serviços SS7; ademais, temos o clássico problema do SIM Swap, quando o criminoso “sequestra” sua linha telefônica (geralmente contando com a ajuda de um insider, ou seja, um funcionário da operadora).
-
Siga no Instagram: acompanhe nossos bastidores, converse com nossa equipe, tire suas dúvidas e saiba em primeira mão as novidades que estão por vir no Canaltech.
-
Qual seria a solução então? Usar aplicativos dedicados a armazenar esse tipo de informaçõ sensível. Temos várias opções no mercado, incluindo o Microsoft Authenticator, o Google Authenticator e o Authy. O ideal, comenta Weinert, é empregar dispositivos físicos que geram tokens aleatórios.
Leia a matéria no Canaltech.
Trending no Canaltech:
- Samsung registra novo celular com corpo preenchido por tela; confira o visual
- Recurso do PS4 com PS5 vai fazer você desistir de vender seu antigo console
- Moto E7: renderizações e lista de especificações do baratinho da Motorola
- Hyperloop: primeira viagem com passageiros a bordo é feita com sucesso
- Moto G9 Power passa na Anatel junto com dois celulares da Realme
About khaled
ليست هناك تعليقات